bu536 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD) Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору mozers Цитата: после перезагрузки зайти на него не могу Т.е.? там пароль такой же, как был у администратора домена (учетная запись Администратор). Т.е. какая она была по повышения роли, такой она и останется. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 13:58 15-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU При понижении роли мастер предлагает ввести новый пароль для администратора этого сервера - я ввожу старый - он ругается на то, что старый не удовлетворяет требованиям безопасности - ладно, воожу новый. После перезагрузки ни старый ни новый не срабатывают. Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы Очевидно правильно было бы сразу при установке системы задать новый пароль для администратора домена, удовлетворяющий этим требованиям безопасности, но я такого сделать не могу по субъективным причинам. (Планирую потом его поменять как в должности укреплюсь). Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 14:18 15-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: При понижении роли мастер предлагает ввести новый пароль для администратора этого сервера - я ввожу старый - он ругается на то, что старый не удовлетворяет требованиям безопасности - ладно, воожу новый. После перезагрузки ни старый ни новый не срабатывают. Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы   Переставлять не обязательно, есть и утилиты, не помню щас как называется, грузишся с диска и сбрасываешь пароль.   А по части пароля раз не ты все ставил, то и не известно как там у тебя политики настроены.   Были у меня глюки с паролем задал, а он потом не пускает под этим паролем, за это политика отвечает котрая включается по умолчанию при повышении роли на контроллере домена и распространяется на весь домен(требует чтоб пароль состоял из различных символов), я у себя ее сразу отключаю, считаю что она нафиг не нужна, о безопасности должен админ думать, давая минимальные права пользователям какие им только необходимы ну и т.д. Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 15:24 15-12-2007

rastlin Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mozers Цитата: А когда, натолкнулся на то, что по умолчанию ничего работать не хочет Нонсенс. Когда ничего не понимаешь в работе, то виноват всегда кто-то другой. У нас - дядя Билли.   ИМХО, прежде чем ругать что-то прочтите мануал. Вообщем - RTFM. Всего записей: 30 | Зарегистр. 05-07-2003 | Отправлено: 15:28 15-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы   Интересно и как он в домен не пускает, под этим паролем или вообще не под каким, под этим и ястно это локальный админ и в домене совсем другие админы.   Щас идея пришла, если после понижения сервак остается в домене зачем его переустанавливать, можно зайти под аккаунтом администратора домена и насоздавать кучу локальных пользователей с любыми правами.   Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 15:31 15-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lykym Цитата: есть и утилиты, не помню щас как называется, грузишся с диска и сбрасываешь пароль Windows NT Change Password Utility. Да я что то про нее забыл     Цитата: требует чтоб пароль состоял из различных символов), я у себя ее сразу отключаю Тоже помню как то делал, а сейчас поискал и не нашел где  Два года перерыва это знаете ли... Цитата: и как он в домен не пускает, под этим паролем или вообще не под каким Ни под каким. Цитата: зачем его переустанавливать, можно зайти под аккаунтом администратора домена   Этот логин и пароль как раз и есть администратора домена.   Ладно. Это частный случай не отраженный в документации. Да мало ли таких!? Надо просто учитывать что такое запросто может произойти и не напарываться, после того как вас предупредили. Я думаю что эту тему можно закрыть.   Что же касается групп безопасности, то в результате обсуждения я понял что нормальные пацаны делают так: Сохраняют в неприкосновенности все (даже ненужные) предустановленные и устанавливаемые некоторым ПО группы безопасности (типа Replicator, VS Developers,...) и отдельных пользователей (типа ASPNET, SQLDebugger,...). А потом делают вид что эти группы и пользователи просто не существуют. Администраторов включают в группу "Администраторы домена" - так они имеют все права. Я очень сомневаюсь что так они смогут зайти со своим логином/паролем на машину, отключенную от сети. Всех юзеров кидают в "Users" и считают что там им будет хорошо. Если каких то прав у пользователя не хватает, то добавляют его еще в одну(две, три, четыре,...) подходящих группы безопасности. Если каким то пользователям надо дать обособленные права, которые с помощью вышеописанных махинаций получить не удается, то делают копию группы безопасности "Users" (которая, кстати, не Bultin) и начинают в этой группе вручную выставлять/удалять права Я правильно вас понял? Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 22:38 15-12-2007

rkhodjaev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору to All Если я не ошибаюсь то пароли пользователей хранятся в базе SAM DC’ра, так?Так вот где же сама база SAM хранится и как можно его содержание просматривать? + если включен параметр криптоват пароли хранимые в базе. Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 09:24 17-12-2007

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору mozers Вообще делается так (вернее рекомендуется вендором) - для каждого объекта общего доступа, требующего своего ACL, создается группа базопасности. Под "каждым объектом" понимается действительно каждый - каждая общая папка, каждая папка с уникальными NTFS-разрешениями, каждый общий принтер, каждый сервер и роль на сервере, разрешения на уровне AD и т.д. На первый вглдя это кажется страшным и не нужным, но когда через годик тебе надо будет понять, а где у кого какие права - такая схема покажется тебе просто волшебной и прозрачной. Тем более, что поменять ACL на NTFS-папку размером 3-4 Gb задача не из приятных. Для статистики - у нас на ~500 "живых" пользователей домена 347 групп. Н-р группа "sg_fileserver_distrib_write" говорит сама за себя - группа безопасности, разрешения для сервера fileserver, общая папка distrib, уровень доступа - запись и чтения. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 11:17 17-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rkhodjaev На сколько мне известно  пароли на Dc хранятся не в сам файлах, а в самой ntds.dit. По первой части точно, а вот по второй не уверен , но с одной стороны где ж еще им храниться, тем более их еще и реплицировать надо. А вот как посмотреть могу только догадываться, хотя есть предположения что файл ntds.dit можно так же редактировать как и sam файлы, например при загрузки с диска типа Windows NT Change Password Utility. Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 11:19 17-12-2007

RoDeZiya NL25 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mozers Цитата: Если каким то пользователям надо дать обособленные права, которые с помощью вышеописанных махинаций получить не удается, то делают копию группы безопасности "Users" (которая, кстати, не Bultin) и начинают в этой группе вручную выставлять/удалять права Вот по этому пунктику. Лучше делать так: добавляешь пользователей в одну стандартную группу, потом, в случае необходимости, создаешь еще одну группу, которой расширяешь права. И необходимую часть пользователей входящих в первую группу помещаешь еще и во вторую. Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 13:30 17-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SniZ   Цитата:      Testing server: Default-First-Site\SRV2       Starting test: Connectivity          The host f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local could no t be resolved to an          IP address.  Check the DNS server, DHCP, server name, etc          Although the Guid DNS name          (f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local) couldn't be          resolved, the server name (srv2.org.local) resolved to the IP address          (192.168.1.102) and was pingable.  Check that the IP address is          registered correctly with the DNS server.          ......................... SRV2 failed test Connectivity   Doing primary tests      Testing server: Default-First-Site\SRV2       Skipping all tests, because server SRV2 is       not responding to directory service requests     Из этого вроде понятно что твой server Srv1  не видит server srv2. Смотри сеть, настройки Dns и т.д. Простой пропингуй с этой машины второй резервный сервер, если отвечает, копай dns, наверно в Dns как раз и проблема. Трудно сказать у меня такой ошибки не было.   Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 14:32 17-12-2007 | Исправлено: Lykym, 14:34 17-12-2007

SniZ Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Из этого вроде понятно что твой server Srv1  не видит server srv2. Смотри сеть, настройки Dns и т.д. Простой пропингуй с этой машины второй резервный сервер, если отвечает, копай dns, наверно в Dns как раз и проблема. Трудно сказать у меня такой ошибки не было.     да но у мну днс вроде нету на этих сервера пингуется всё в норме, может если будет время, пни меня в аську 3967011, очень уж помощь нада Всего записей: 71 | Зарегистр. 17-05-2006 | Отправлено: 15:03 17-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SniZ   Цитата: да но у мну днс вроде нету на этих сервера     Да, интересно как все это работало раньше ? Открывай параметры протокола tcp/ip   и смотри кто там у тебя Dns сервер. Запусти run->cmd->nslookup: набери имя своего домена, если ответ есть то можно предположить что Dns работает. Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 16:25 17-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU RoDeZiya Valery12 Спасибо за совет. Как то даже думать по другому щас стал... Но вот если юсер состоит в 2х группах в одной из которых наложен запрет на доступ к ресурсу, а в другой этот доступ разрешен то тогда сработает либо вариант предложенный RoDeZiya либо вариант Valery12. Значит кто то из вас не прав   Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 22:08 17-12-2007

RoDeZiya NL25 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mozers Цитата: если юсер состоит в 2х группах в одной из которых наложен запрет на доступ к ресурсу, а в другой этот доступ разрешен Тут самое главное не путать запрет и отсутствие разрешения. Если стоит именно запрет доступа для одной группы, а разрешения для другой то тогда сработает запрет. Если нет разрешения на ресурс, для одной группы, но есть для другой - сработает разрешение. ---------- Злой человек. Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 22:12 17-12-2007

rkhodjaev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lykym    Честно говорья я не очень-то не понял ntds.dit ?   Ребята возникла проблема NOD пользователскими правами не запускается, а вот не хочу дать им именно админовские права.Вопрос в том что - возможно ли дать админовские права на определенную прогу или есть альтернативные способы решения? Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:51 18-12-2007

Lykym Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rkhodjaev ntds.dit - это файл в котором хранится AD, ищи его в папке которую ты указывал при повышении роли контроллера.   Цитата: Вопрос в том что - возможно ли дать админовские права на определенную прогу или есть альтернативные способы решения?   Все что приходит на ум в данном случае это проверить на какие файлы и ключи реестра нужны ноду для записи, просто если он установлен в папке program files то юзер писать туда не может, тут поможет filemon nt и regmon. Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 11:23 18-12-2007 | Исправлено: Lykym, 12:19 18-12-2007

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rkhodjaev Сорри за офф. А версия НОДа какая? Вторая линейка НОДа спокойно работает у юзеров в домене без всяких админских прав. Если у тебя вторая, то тебе надо в программный топик по НОДу. Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 12:16 18-12-2007 | Исправлено: PhoenixUA, 12:17 18-12-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование